Manter a sincronização de directórios em sintonia com as melhores práticas de segurança
Com o Azure AD Connect, a sincronização de dados de directório do Active Directory no local para o Azure AD é fácil e eficiente. Mas será que é possível ter demasiado de uma coisa boa?
As melhores práticas de segurança limitam a partilha a uma base estrita de necessidade de conhecimento. No entanto, o Azure AD Connect sincroniza 151 atributos por predefinição. Leu bem: 151 atributos.
Assim, se efectuar a instalação "Definições Expressas" do Azure AD Connect, o Azure AD incluirá um total de 151 atributos (excluindo atributos nulos ou não presentes) para cada objecto sincronizado do Active Directory no local para o Azure AD.
E dependendo do local onde o Azure AD está alojado (por exemplo, fora dos EUA), alguns destes atributos - incluindo cinco atributos relacionados com o utilizador - podem ser replicados para centros de dados nos EUA.
É importante notar que a versão actual do Azure AD Connect é bastante implacável: depois de um atributo ter sido sincronizado, pode desactivar as actualizações, mas o atributo permanece (num estado desactualizado) no Azure AD. Portanto, é extremamente importante acertar o Azure AD Connect logo na primeira vez.
Limitar a sua exposição
As definições predefinidas e as configurações expressas podem ser as melhores amigas de um administrador de TI atarefado, e eu recomendo-as frequentemente. Afinal, essas definições e configurações geralmente incorporam as recomendações do próprio fornecedor e as práticas recomendadas do produto.
No entanto, para muitas (ou mesmo para a maioria) organizações, o nível de sincronização predefinido no Azure AD Connect não é necessário de uma perspectiva operacional, nem é desejável de uma perspectiva de segurança.
Lembre-se que o Azure AD não é apenas uma extensão do seu Active Directory local - em vez disso, o Azure AD é o seu próprio armazenamento de identidades com o seu próprio conjunto de vulnerabilidades. E quando se trata de armazenar dados sensíveis na nuvem, menos é melhor.
Por conseguinte, aconselho-o a considerar a possibilidade de personalizar a sua instalação do Azure AD Connect com a funcionalidade de filtragem de aplicações e atributos incorporada e fácil de utilizar.
Assumir o controlo
A filtragem de aplicações e atributos - juntamente com a filtragem de domínios e OUs - dá-lhe um controlo considerável sobre o que é sincronizado do Active Directory no local para o Azure AD. Embora as regras de sincronização forneçam capacidades adicionais, a filtragem é suficiente na maioria dos casos e é o melhor ponto de partida em qualquer caso.
E para o ajudar a começar, a Semperis publicou um livro branco que pode ser descarregado aqui.
Aconselho-o vivamente a descarregar o livro branco: a sincronização desnecessária de dados prejudica a segurança e é difícil de anular. O livro branco fornece mais explicações, limitações adicionais e dicas de utilização valiosas.
Encontrar um equilíbrio
Enquanto a sincronização de 151 atributos "por precaução" pode ser um exagero, a sincronização mínima de apenas os atributos necessários pode ser desnecessariamente mesquinha e causar problemas operacionais. Como muitas coisas na vida, é importante encontrar um equilíbrio. Uma vez que é mais fácil adicionar atributos à sincronização do que removê-los, recomendo que comece de forma conservadora com um conjunto limitado de atributos, monitorize activamente e adicione atributos conforme necessário.
